bukib
0 bukibs
Columbus, Ohio
Hora local: 02:06
Temperatura: 23.7°C
Probabilidade de chuva: 2%

Ataque que sequestrou dados de 500 mil pacientes no Brasil entra na mira da ANPD

Ataque que sequestrou dados de 500 mil pacientes no Brasil entra na mira da ANPD

A Agência Nacional de Proteção de Dados (ANPD) iniciou um processo de sanção contra o Instituto de Saúde e Cidadania (ISAC) após um ataque que “sequestrou” dados de 500 mil pacientes da organização social. O ataque, ocorrido em 2025, foi um ransomware, que criptografa os dados e cobra um resgate para acessá-los novamente.

Os dados expostos incluíam informações de identificação, como nome e data de nascimento, e dados sensíveis de saúde, como histórico de exames, prontuários, prescrições, atendimentos ambulatoriais, internações, diagnósticos e procedimentos realizados. Segundo a ANPD, o ataque atingiu tanto informações de identificação quanto dados sensíveis de saúde.

O ISAC afirmou que o incidente não resultou em vazamento de dados e não afetou a assistência aos pacientes das unidades de saúde. No entanto, a ANPD apurou que a entidade não apresentou comprovação para essa afirmação e não comunicou individualmente os titulares afetados, como seria esperado de acordo com a Lei Geral de Proteção de Dados Pessoais (LGPD).

Motivos do processo

O processo foi instaurado para apurar se foram cometidas infrações à LGPD relacionadas aos seguintes pontos:

  • Ausência de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais;
  • Comunicação inadequada às pessoas afetadas pelo incidente;
  • Indisponibilidade de informações relativas ao encarregado pelo tratamento de dados pessoais;
  • Descumprimento aos princípios da prevenção e da responsabilização e prestação de contas.

A ANPD também pontuou que a entidade não apresentou comprovação para a afirmação de que os invasores teriam acessado apenas informações administrativas de bancos de dados de contratos já encerrados.

Próximos passos

Com o início do processo, a organização social tem dez úteis para apresentar a sua defesa. As sanções, em caso de condenação, preveem desde advertência a multa de até 2% do faturamento e suspensão ou proibição do exercício de atividades de tratamento de dados pessoais.

A empresa também receberá orientações para regulamentar a situação. O ISAC afirmou que “registrou ocorrência junto às autoridades competentes” e que “vem prestando todos os esclarecimentos solicitados e colaborando integralmente com o processo de apuração” desde então.

Este conteúdo pode conter links de compra.

Fonte: link